Elokuun 10. päivänä Poly Network kärsi 611 miljoonan dollarin hakkeroinnin-suurin salakirjoitukseen liittyvä hakkerointi tähän mennessä. Tämä hyökkäys oli erityisen mielenkiintoinen verrattuna useimpiin DeFi -hakkereihin, jotka käyttävät tyypillisesti flash -lainoja ja arbitraasia hyväksikäyttöön älykkäät sopimuksetMitä ovat älykkäät sopimukset? Älykäs sopimus on tietokoneohjelma… Lisää: ja pienemmät varat. Tässä tapauksessa hakkeri löysi hyväksikäytön, jonka avulla hän pystyi ohittamaan yksityiset avaimet ja antamaan älykkään sopimuksen yksinkertaisesti lähettää rahat suoraan heidän hallinnassaan oleviin lompakkoihin. CipherTrace on vahvistanut, että lähes kaikki varat on tähän mennessä palautettu Poly Networkille. Poly Network on myös vahvistanut paluun Twitter -syötteessään.
Jos tyypillinen DeFi -hakkerointi kohdistuu tiettyihin DeFi -instrumentteihin ja aiheuttaa paljon pienempiä tappioita, tässä tapauksessa hyökkäys kohdistui Poly Networkin infrastruktuuriin, keskittyen itse DeFi -alustaan ja hajautetun pörssin (DEX) älykkäiden sopimusten hallintaan. Tämän seurauksena hakkeri hallitsi täysin ketjujen välistä pääsopimusta, jolloin hän pystyi avaamaan tokenien lukituksen, joiden piti olla lukittuina sopimuksen sisällä, lähettää tunnukset heidän hallinnassaan oleviin osoitteisiin ja toistaa sitten hyökkäyksen ketjuissa.
Kuinka Poly Network hakkeroitiin
Poly-verkko toimii ketjujen välisenä yhteentoimivuussillana helpottamaan merkkien siirtoa kahden suhteellisen riippumattoman lohkoketjun välillä. Sellaisena yksi heidän tärkeimmistä Poly Network -älykkäistä sopimuksistaan on silta itse. Jotta ketjujen väliset sillat toimisivat tehokkaasti (esim. Jotta käyttäjät voisivat käyttää verkkoa siirtämään tunnuksia ketjujen välillä), niiden on ylläpidettävä suuria likviditeettimääriä. Aina kun käyttäjä haluaa "yhdistää" ketjujen välille, Poly Networkin on poltettava tehokkaasti vastaavia ketjujen vastaavia resursseja.
Näiden ketjujen välisten tunnusten siirtojen myöntävä sopimus käyttää "haltijoita" tapahtumien tarkistamiseen ja suorittamiseen. Kun vartija allekirjoittaa lähdeketju Ishayoiden opettaman CrossChainManager sopimusta määränpääketju tarkistaa ylläpitäjän allekirjoituksen pätevyyden ja suorittaa vastaavan kohdeketjussa "sillan" suorittamiseksi.
Koska älykäs sopimus suorittaa tapahtumat eikä käyttäjä itse, hakkeri pystyi hyödyntämään CrossChainManager älykkääseen sopimukseen ja vaihtaa "pitäjät" pahantahtoiseen vartijaan heidän hallinnassaan. Tämän seurauksena hakkeri hallitsi täysin Poly-verkon pääketjujen välistä sopimusta, jolloin hän pystyi avaamaan tunnuksia, joiden piti pysyä lukittuna silta-sopimuksen puitteissa, ja siirtää tunnukset hänen hallinnassaan oleviin osoitteisiin. Sitten hakkeri toisti hyökkäyksen ketjujen yli.
Ketkä ovat Poly Network -hyökkäyksen todellisia uhreja?
Hakkerin toimien seurauksena näissä sopimuksissa "lukittu" käyttäjien varat kärsivät todellisen menetyksen. Vaikka tiettyjen henkilöiden tunnuksia ei otettu, poistamalla niin suuri määrä protokollassa lukittuja, Poly Networkilla ei enää olisi likviditeettiä laajamittaisen maastamuuton tukemiseen, jos kaikki käyttäjät haluaisivat vetää varojaan sopimuksista. Kuitenkin DeFi-järjestelmän hajautetun luonteen vuoksi KYC-prosessien ja rajat ylittävän ulottuvuuden puuttuminen tarkoittaa lähes mahdotonta tunnistaa todelliset uhrit ja missä he sijaitsevat.
Kaiken kaikkiaan se on hienostunut hyödyntäminen huonosti suunnitellulle älykkäälle sopimukselle, jonka "riski" ja "käyttäytyminen" vaikuttavat Poly Networkin käyttäjiin. Sijoittajat ovat todellisia uhreja, eivät Poly Network itse. Luultavasti Poly Network jakaa vastuun hakkerin kanssa, koska se ei takaa älykkään sopimuksensa laatua ja altistaa sijoittajat merkittävälle riskille.
Tällä hetkellä ei ole viitteitä siitä, että Poly Network -koodi olisi koskaan saanut auditoinnin. Haku protokollan GitHubista repomyynnit ei osoittanut, että tarkastuksia olisi tehty tai raportoitu.
Poly Network -hakkeri palauttaa yli puolet varastetuista varoista
Polyverkkovarkauksia seuranneiden suureksi yllätykseksi hyökkääjä alkoi palauttaa osan varastetuista varoista 11. elokuuta. Tämä sai monet Internetissä ihmettelemään - miksi?
Kaikissa vaihdoissa, joita hakkeri on tehnyt hämärtääkseen jälkensä, näyttää siltä, että hakkeri oli jossain vaiheessa käyttänyt uudelleen lompakkoa, jolla oli jo aiempia tapahtumia joidenkin näkyvien pörssien kanssa, jotka saattoivat tunnistaa asiakkaan tuntemisen (KYC) tiedot häntä.
On väitetty, että hakkeri voisi olla valkoinen hattu, kun otetaan huomioon varojen palauttaminen. On kuitenkin erittäin epätodennäköistä, että valkoinen hattu olisi ryhtynyt samoihin toimiin yrittäessään hämärtää rahapolkua, jos he olisivat aina aikoneet palauttaa rahat.
Tämän blogin aikaan CipherTrace on vahvistanut, että lähes kaikki varat on palautettu Poly Networkille osoitteisiin, jotka he ovat kehittäneet erityisesti hakkereille varojen palauttamiseksi. Nämä osoitteet ovat:
- 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f
- 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc
- 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17
Rahat jäädytetty 10. elokuuta (hakkerointipäivä)
USDT jäädytetty
Rahat palautettiin elokuun 11
Poly -sopimus: 85 miljoonaa dollaria USDC
BSC -sopimus: 256.2 miljoonaa dollaria kolmessa päämerkissä (lähinnä BTCB, Binance sidottu ETH, BUSD) ja 3 miljoonaa dollaria BNB
Ethereum -sopimus: 3.4 miljoonaa dollaria SHIB, renBTC ja Fei
Rahat palautettiin elokuun 12
Ethereum -sopimus: 96.42 miljoonaa dollaria DAI
Tällaisen suuren DeFi -hakkeroinnin seuraukset
Lainsäätäjät nopeuttavat DeFi -asetusten täytäntöönpanoa, varsinkin kun DeFi -hakkerointikierrosten määrä on tämän viimeisimmän Poly Network -hakkeroinnin esimerkki. Viime kädessä sääntelyviranomaiset todennäköisesti luokittelevat hajautetut pörssit (DEX) virtuaalisten omaisuuspalvelujen tarjoajiksi (VASP) FATF: n suositusten mukaisesti. FinCEN luokittelee todennäköisesti DEX: t rahapalveluliikkeiksi (MSB), mikä tarkoittaa, että DEX-laitteita ja muita DeFi-sovelluksia vaaditaan rahanpesun ja KYC: n velvoitteiden täyttämiseksi. Odottaisin myös, että CFTC säätelee DeFi -yhteisöjä ja SEC sääntelee DeFi -arvopaperimääräyksiä.
Lisäksi älykkäät sopimusten laatustandardit kiristyvät ja tarkastusstandardit syntyvät. Lisäksi DeFi -vakuutusmarkkinat kehittyvät ja kypsyvät, ja ne pystyvät arvioimaan asianmukaisesti ja oikeiden DeFi -teknisten riskien alaisena.
DeFi -hakkerit lähestyvät 2 miljardia dollaria vuodelle - mitä seuraavaksi?
Tämä hakkerointi on esimerkki älykkäiden sopimusten suojaus- ja tarkastusstandardien tärkeydestä koodin laadun varmistamiseksi ja haavoittuvuuksien vähentämiseksi.
Uusimman mukaan Kryptovaluutta-rikollisuus ja rahanpesun torjunta, elokuun loppuun mennessä rikollisten nettouttama DeFi-hakkerointimäärä vuonna 2021 on 361 miljoonaa dollaria. Nykyään tämä määrä on lähes kolminkertaistunut, kun DeFi -hakkerit muodostavat nyt 994 miljoonaa dollaria, mikä on 90% kaikista vuoden 2021 hakkerointimääristä, jotka ylittävät hieman yli 1.1 miljardia dollaria.
Kun DeFi -hakkerit ja petokset kasvavat eksponentiaalisesti neljännesvuosittain, DeFi -rikollisuuden tulevaisuus näyttää synkältä, jos suuntaus jatkuu. Jos DeFi -rikokset kasvavat yhä kehittyneemmäksi, kuten Poly Network -hakkeri ennakoi, älykkäät sopimukset kohdistuvat todennäköisesti yhä laajemmiin hyökkäyksiin.
Liite
11. elokuuta hakkeri piti "ketjussa" Q&A. Seuraavaa voi tarkastella dekoodaamalla joidenkin hänen tapahtumiensa syöttötiedot.
Kysymyksiä ja vastauksia, ensimmäinen osa:
K: MIKSI hakkerointi?
A: huvikseen 🙂
K: MIKSI POLY -VERKKO?
V: RISTIKETJUN HAKKEROINTI ON KUUMA
K: MIKSI TOKENSIN SIIRTÄMINEN?
V: PIDÄTÄ TURVALLISESTI.
TÄRKEÄTÄ VIKAA MULLA OLI SEKOINEN TUNNUS. KYSY itseltäsi, MITÄ TEHDÄ, ETTÄ OLET JOHTANUT PALJON MUUTTUUN. KYSYTÄ PROJEKTITIIMILLE POLITITTISESTI, ETTÄ VOIVAT KORJATA SEN? KUKAAN VOI OLLA MILJARDI ANNETTU PETO! VOIN LUOTTAA KENKÄÄN! AINOA RATKAISU, JOKA VOIN TULLA, SÄÄSTÄ TÄMÄN LUOTETTAVALLE TILILLE, JOTKA PITÄN ITSENI _ANONYMOUS_ JA _SAFE_.
NYT KAIKKI TUUTAVAT YHTEYDENOTTUISUUDEN. SISÄPIIRI? En minä, mutta kuka tietää? KANNAN VASTUUN ALTISTAA HENKILÖKOHTAISUUDEN ENNEN SISÄPIIRIT, JOTKA Piilottavat ja hyödyntävät sitä!
K: MIKSI NIIN SOPHISTISOITU?
V: POLY -VERKKO ON DECENT SYSTEM. Se on yksi haastavimmista hyökkäyksistä, joista hakkeri voi nauttia. JA MINUN PITI olla nopea voittaakseni kaikki sisäpiiriläiset tai hakkerit, otin sen BONUS -HAASTEENA 🙂
K: Oletko altistunut?
V: EI. EI MILLOINKAAN. Ymmärrän itseni altistumisen riskin, vaikka en tekis pahaa. KÄYTÄN siis tilapäistä sähköpostia, IP -osoitetta tai _soitettu_ sormenjälkeä, joka oli korjaamaton. PAKKOIN PYSYYTYT Pimeässä ja pelastaa maailman.
https://etherscan.io/tx/0x1fb7d1054df46c9734be76ccc14fa871b6729e33b98f9a3429670d27ec692bc0
Q & A, KAKSI OSA:
K: Mitä todella tapahtui 30 tuntia sitten?
V: PITKÄ TARINA.
USKO TÄÄLLÄ
POLY -VERKKO ON SOPHISTISOITU JÄRJESTELMÄ, en ole hallinnoinut rakentaa paikallista testausympäristöä. En onnistunut tuottamaan POCia aluksi. Kuitenkin AHA -ÄITI TULI VAIN ENNEN MINUN PITÄISI luovuttaa. KAIKKI YÖN VIKAUKSEN JÄLKEEN JÄRJESTELIN _YKSITTÄIN_Viestin ONTOLOGIAVERKKOON.
Suunnittelin käynnistääksesi COOL BLITZKRIEGin, joka ottaisi haltuunsa NELJÄN VERKON: ETH, BSC, POLYGON & HECO. HECO -VERKKO ON VÄÄRÄ! RELAYER EI OLE KÄYNNISTYNYT MUIDEN KANSSA, SÄILYTÄJÄ VAHVISTI UUDELLEEN EXPOIT -KONEENI, JA AVAIN PÄIVITETTIIN JOILLE VÄÄRILLE PARAMETRILLE. Se pilasi suunnitelmani.
PITÄISIN PYSÄYTYNYT TÄMÄN HETKEN JÄLKEEN, MUTTA PÄÄTTÄIN, JOTKA ESITTÄVÄN JATKUU! Entä jos he korjaavat virheen salassa ilman ilmoitusta?
En kuitenkaan halunnut aiheuttaa _Real_ PANIC OF CRYPTO WORLDia. Joten VALINNAN IGNORE SHIT -KOLIKOT, JOTKA IHMISTEN EI OLEEN tarvinnut murehtia siitä, että ne menevät nollaan. OSTAN TÄRKEITÄ KÄYTÄNTÖJÄ (LUKEMATTA SHIBIA), EI MYYNNYISTÄ KUKAAN.
K: MIKSI TÄMÄN VAKIOIDEN MYYMINEN/VAIHTAMINEN?
V: POLY -TIIMI HÄVITTI MINUN ALKUPERÄISESTÄ VASTAUKSESTA.
He kiirehtivät muita syyttämään ja vihaamaan minua ennen kuin minulla oli mahdollisuus vastata! Tietysti tiesin, että on väärennettyjä DEFI -kolikoita, mutta en ottanut sitä vakavasti, koska minulla ei ollut suunnitelmia niiden pesemiseksi.
VÄLITTÄMÄLLÄ TILOJEN TALLETTAMINEN VOI TARVITTAA JOKAINEN KIINTEÄ KATTAA MAHDOLLISET KUSTANNUKSET, ETTÄ MINULLA ON ENEMMÄN AIKAA neuvotella POLY -tiimin kanssa.
https://etherscan.io/tx/0xd4ee4807c07702a3202f45666983855d7fa22eb1c230e4c1e840fc9389e54729
Kysymyksiä ja vastauksia, KOLMAS OSA:
K: MIKSI VIHJEITÄ 13.37?
V: Tunsin ETEREUM -YHTEISÖN LÄMMÖN.
MINÄ TULI TUTKINTAKYSYMYKSIÄ HECOSTA JA KIRJOITAN KIRJOITUKSIA. LUUIN, ETTÄ VERKKOKÄYTTÖISET KYSYMYKSET, MIKÄN VOITIN EI TALLETTA (MINÄ OLIN SOPHISTISETTU ASIAKIRJA). Joten JAKOIN HYVÄN TAHANI GUY.
K: MIKSI TORNADO JA DAO?
V: TODISTETTUAN MONTA MUUTA HAKKURIA, TIESIN, että TORNADOON TALLETTAMINEN ON VIISKI, MUTTA HYVÄ PÄÄTÖS. SE OLI ALKUPERÄISTÄ AIKOMUKSIANI. VÄLITTYMÄ HAKKURINA OLI VAIN HALVO VITSINI TAVAN MONEN KERÄJÄN KOKOAMISEN JÄLKEEN 🙂
K: MIKSI PALAUTUS?
V: SE ON AINA SUUNNITELMA! MINÄ _EI ole kovin kiinnostunut rahasta! Tiedän, että se sattuu, kun ihmisiä hyökätään, mutta EIKÖ heidän pitäisi oppia jotain näistä hyökkäyksistä? ILMOITIN PALAUTUSPÄÄTÖKSEN ENNEN YÖN YÖTÄ, joten IHMISTEN, JOTKA USKOISIVAT MINUUN, PITÄISI HYVÄ LOPPU 😉
K: MIKSI PALAUTTAA HIDASTI?
V: Tarvitsen aikaa puhua POLY -TIIMILLE. Anteeksi, se on ainoa tapa, jolla tiesin osoittaa ihmisarvoni, kun kätken itseni. JA TARVITAAN LOMAA.
K: POLY -TIIMI?
V: ALOIN JUURI JUTTAMA HETIIN LYHYESTI, LOKIT OVAT EETEUMISSA. Voin TAI EI JULKAISTA niitä. KIPUT, JOTKA KÄYNNISTÄVÄT, OVAT AJOTILAISIA MUTTA MUISTAVIA.
Olisin halunnut antaa heille VINKKEJÄ VERKKOJEN TURVALLISUUDESTA, ETTÄ he voivat olla kelvollisia hallitsemaan miljardia hanketta tulevaisuudessa. POLY -VERKKO ON HYVIN SUUNNITELTU JÄRJESTELMÄ, JA SE KÄSITTELE LISÄÄ VAROJA. Ovatko he saaneet paljon uusia seuraajia twitterissä, eikö?
https://etherscan.io/tx/0xe954bed9abc08c20b8e4241c5a9e69ed212759152dd588bb976b47eca353a5bc
Arvo on otettu Poly Network Hackista
Ketju | TX Hash | etu | määrä | $ arvo |
BSC | 0x534966864bda354628d4f1c66db45cbefcdda7433e9576e7664fea01bb05be9a | BNB | 6,613.44 | $2,460,861.21 |
BSC | 0xd59223a8cd2406cfd0563b16e06482b9a3efecfd896d590a3dba1042697de11a | USDC | 87,603,373.77 | $87,624,502.53 |
BSC | 0x4e57f59395aca4847c4d001db4a980b92aab7676bc0e2d57ee39e83502527d6c | ETH | 26,629.16 | $85,896,083.66 |
BSC | 0x50105b6d07b4d738cd11b4b8ae16943bed09c7ce724dc8b171c74155dd496c25 | BTCB | 1,023.88 | $47,427,704.52 |
BSC | 0xd65025a2dd953f529815bd3c669ada635c6001b3cc50e042f9477c7db077b4c9 | BUSD | 32,107,854.11 | $32,124,918.14 |
BSC | 0xea37b320843f75a8a849fdf13cd357cb64761a848d48a516c3cac5bbd6caaad5 | USDC | 298.9405633 | $299.04 |
ETH | 0xad7a2c70c958fcd3effbf374d0acf3774a9257577625ae4c838e24b0de17602a | ETH | 2,857.49 | $8,977,279.13 |
ETH | 0x5a8b2152ec7d5538030b53347ac82e263c58fe7455695543055a2356f3ad4998 | USDC | 96,389,444.23 | $96,430,660.58 |
ETH | 0x3f55ff1fa4eb3437afe42f4fea57903e8e663bc3b17cb982f1c8d4c8f03a2083 | WBTC | 1,032.12 | 46,971,609.47 |
ETH | 0xa7c56561bbe9fbd48e2e26306e5bb10d24786504833103d3f023751bbcc8a3d9 | DAI | 673,227.94 | $673.628.12 |
ETH | 0xc917838cc3d1edd871c1800363b4e4a8eaf8da2018e417210407cc53f94cd44e | UNI | 43,023.75 | $1,242,040.44 |
ETH | 0xe05dcda4f1b779989b0aa2bd3fa262d4e6e13343831cb337c2c5beb2266138f5 | SHIB | 259,737,345,149.52 | $1,974,082.34 |
ETH | 0xb12681d9e91e69b94960611b227c90af25e5352881907f1deee609b8d5e94d7d | renBTC | 14.47265047 | $659,141.75 |
ETH | 0x06aca16c483c3e61d5cdf39dc34815c29d6672a77313ec36bf66040c256a7db3 | USDT | 33,431,197.73 | $33,391,733.96 |
ETH | 0xc797aa9d4714e00164fcac4975d8f0a231dae6280458d78382bd2ec46ece08e7 | Weth | 26,109.06 | $82,052,128.62 |
ETH | 0xd8c1f7424593ddba11a0e072b61082bf3d931583cb75f7843fc2a8685d20033a | FEI | 616,082.59 | $616,082.59 |
Poly | 0x1d260d040f67eb2f3e474418bf85cc50b70101ca2473109fa1bf1e54525a3e01 | USDC | 85,089,610.91 | $85,061,020.80 |
Poly | 0xfbe66beaadf82cc51a8739f387415da1f638d0654a28a1532c6333feb2857790 | USDC | 108.694578 | $108.66 |
Moniverkkohakkeriosoitteet
Poly Network tunnisti julkisesti kolme osoitetta, joiden väitettiin hallitsevan hyökkääjää:
- 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 (ETH)
- 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71 (BSC)
- 0x5dc3603C9D42Ff184153a8a9094a73d461663214 (POLYGON)
Lähde: https://ciphertrace.com/poly-network-suffers-largest-crypto-hack-ever-recorded/
- &
- 11
- Tili
- Kaikki
- väitetään
- Salliminen
- AML
- ilmoitti
- rahanpesunvastainen
- sovellukset
- katvealueiden
- etu
- Varat
- tilintarkastus
- Elokuu
- Miljardi
- binance
- Uutiset ja media
- SILTA
- Vika
- rakentaa
- BUSD
- yritykset
- Aiheuttaa
- CFTC
- CipherTrace
- vaatimukset
- koodi
- Kolikot
- yhteisöjen
- yhteisö
- Salaliitto
- jatkaa
- sopimus
- sopimukset
- Rikollisuus
- rikokset
- rikolliset
- rajat ylittävä
- Crypto
- DAO
- tiedot
- päivä
- hajautettu
- defi
- Dex
- DID
- ympäristö
- ETH
- ethereum
- Vaihto
- Maastamuutto
- Käyttää hyväkseen
- päin
- väärennös
- FinCEN
- sormenjälki
- Korjata
- salama
- muoto
- petos
- hauska
- varat
- tulevaisuutta
- peli
- GitHub
- hyvä
- Kasvaa
- hakata
- hakkeri
- hakkerit
- hakkerointi
- hakata
- Miten
- Miten
- HTTPS
- Identiteetti
- tiedot
- Infrastruktuuri
- Insider
- korko
- Internet
- Interoperability
- Sijoittajat
- IP
- kysymykset
- IT
- pito
- avain
- avaimet
- KYC
- suuri
- uusin
- käynnistää
- OPPIA
- likviditeetti
- Lainat
- paikallinen
- Pitkät
- merkittävä
- Enemmistö
- Tekeminen
- miljoona
- sekoitettu
- raha
- seuranta
- liikkua
- verkko
- verkostoituminen
- verkot
- ilmoituksen
- Ontologia
- tilata
- Muut
- Paniikki
- läikkä
- Ihmiset
- suunnittelu
- foorumi
- PoC
- yksityinen
- Yksityiset avaimet
- kohti
- projekti
- valtuutettu
- julkaista
- Kysymyksiä ja vastauksia
- laatu
- vähentää
- määräykset
- Säätimet
- REST
- Tuotto
- Riski
- turvallista
- tallentaa
- Asteikko
- SEK
- Arvopaperit
- turvallisuus
- Myydään
- tunne
- yhteinen
- osakkeet
- Signs
- fiksu
- älykäs sopimus
- Smart-sopimukset
- So
- standardit
- alkoi
- pysyä
- varastettu
- tuki
- yllätys
- järjestelmä
- puhuminen
- Tekninen
- tilapäinen
- Testaus
- varkaus
- aika
- vinkit
- symbolinen
- tokens
- Liiketoimet
- Luottamus
- viserrys
- Käyttäjät
- vaspit
- Virtual
- virtuaalisen omaisuuden palveluntarjoajat
- tilavuus
- haavoittuvuuksia
- alttius
- Lompakko
- Lompakot
- KUKA
- sisällä
- maailman-
- nolla-